用ACL控制訪問權(quán)限（1）用ACL控制授權(quán)我們在LDAP中創(chuàng)建目錄樹后，最感興趣的就是如何控制用戶在目錄樹中的權(quán)限（讀寫）。誰在什么條件下有記錄權(quán)限，我們有權(quán)限看到哪些信息。ACL（AccessControlList）訪問控制列表就是解決用戶權(quán)限問題的。我們要把ACL寫在哪里？ACL寫在OpenLDAP的服務(wù)端全局配置文件slapd.conf中，如下這段即為其指令：accesstodn.base=""by*readaccesstodn.base="cn=Subschema"by*read#accessto*byselfwritebyusersreadbyanonymousauth也可以寫在一"單獨(dú)的文件中，如access.conf，然后在全局配置文件slapd.conf中調(diào)用，在配置文件中引入這個文件即可，如下：include/etc/openldap/access.confinclude后面的路徑為該文件的放置地址。ACL語法基礎(chǔ)怎么看懂ACL指令？首先看下ACL訪問指令的格式：################################################Tw Tw Tw Tw Twaccessto[resources]by[who][typeofaccessgranted][control]by[who][typeofaccessgranted][control]#More'by'clauses,ifnecessary....################################################kFk^T^TF kFk^T^TF kFk^T^TFa^T^TF kFk^T^TFa^T^TF kF指令中包含1個to語句，多個by語句。這個指令的大體意思是，通過accessto約束我們訪問的范圍（resources），通過by設(shè)定哪個用戶（who）獲取對這個約束范圍有什么權(quán)限（typeofaccessgranted）,并控制（control）這個by語句完成后是否繼續(xù)執(zhí)行下一個by語句或者下一個ACL指令。如果對ACL指令很熟悉的話，可以不必繼續(xù)往下看，因?yàn)橐韵聻樵敿?xì)的指令基礎(chǔ)介紹。現(xiàn)在對ACL指令分解成兩大部分進(jìn)行詳細(xì)說明，一個是accessto指令，一個是by指令。先看看accessto吧。用ACL控制訪問權(quán)限（2）Accessto[resources]resources可以有多種形式，如DN，attrs,Filters.以下即詳細(xì)說明。1.通過約束DN進(jìn)行訪問如下所示，accesstodn="uid=matt,ou=Users,dc=example,dc=com"by*none這個指令是指訪問uid=matt,ou=Users,dc=example,dc=com這個DN，即把訪問的范圍約束在這個DN中。by*none是指對于任何人的訪問都是拒絕的?？傮w的意思就是，任何人都沒有權(quán)限訪問uid=matt,ou=Users,dc=example,dc=com這個DN，當(dāng)然，服務(wù)器管理員是可以訪問的，不然它無法維護(hù)這個OpenLDAP中的用戶信息。再來看一個，accesstodn.subtree="ou=Users,dc=example,dc=com"by*none在這個例子中，我們用了dn.subtree。在我們的目錄信息樹中，在ou=Users子樹下可能有多個用戶。舉例來說，DN為uid=matt,ou=Users,dc=example,dc=com就是ou=Users,dc=example,dc=com的子樹，當(dāng)要試圖訪問他時，這個ACL指令就起了作用。總體的意思是，任何人都沒有權(quán)限訪問ou=Users，dc=example,dc=com以及其子樹的信息。#######################################################################洪此處插播1個知識點(diǎn)dn.base:RestrictaccesstothisparticularDN.Thisisthedefault,anddn.exactanddn.baselevelaresynonymsofdn.base.dn.one:RestrictaccesstoanyentriesimmediatelybelowthisDN.dn.onelevelisasynonym.dn.children:Restrictaccesstothechildren(subordinate)entriesofthisDN.Thisissimilartosubtree,exceptthatthegivenDNitselfisnotrestrictedbytherule.用ACL控制訪問權(quán)限(3)以上內(nèi)容意思是，dn.base:約束這個特定DN的訪問。他和dn.exact和dn.baselevel是相同的意思。dn.one:約束這個特定的DN第一級子樹的訪問。dn.onelevel是同義詞。dn.children:這個和dn.subtree類似，都是對其以下的子樹訪問權(quán)的約束。不同點(diǎn)在于，這個的約束是不包含自己本身DN。而subtree包含了本身的DN。#######################################################################對于dn的約束條件還可以利用模糊約束，如下：accesstodn.regex="uid=[A,]+,ou=Users,dc=example,dc=com"by*nonedn.regex是用來做匹配（match）用的。這個指令將約束所有uid=（任何值）,ou=Users,dc=example,dc=com的DN，其中的任何值是用[A,]+這個符號組合來表示的，他可以代表任何至少有1個字符，且字符當(dāng)中沒有逗號（,）的值。更明確點(diǎn)說，意思就是在ou=Users,dc=example,dc=com這個DN下的所有以uid為屬性的一級子樹都屬于這個約束的范圍。2.通過約束attrs訪問對于DN的約束大多用在對某個層級的約束，而用attrs的話，就可以跨層級（或者說跨越父類樹），通過屬性來約束訪問的范圍。accesstoattrs=homePhoneby*none這個例子意思是，任何人都沒有權(quán)限訪問屬性為homePhone的信息。在attrs后面的值可以多個，如accesstoattrs=homePhone,homePostalAddress用ACL控制訪問權(quán)限（4）如果想約束某個對象類(Objectclass)的所有屬性，我們或許可以有這樣的形式:accesstoattrs=title,registeredAddress,destinationindicator, 但這個方法太耗時，也難以閱讀，顯得笨重，以下給出一個好的方法：accesstoattrs=@organizationalPersonby*none用@的方法必須謹(jǐn)慎，這段指令不僅僅約束了organizationalPerson里的屬性，也約束了person對象類的屬性。為什么？因?yàn)閛rganizationalPerson對象類是person的子類，因此，所有person中的屬性就當(dāng)然也是organizationalPerson的屬性了。如果想做除了organizationalPerson的其他對象類的約束，可以用！來表示：accesstoattrs=!organizationalPerson也可以加入屬性的值，具體約束某個值：accesstoattrs=givenNameval="Matt"這個指令也可以用模糊約束的方法，如下：accesstoattrs=givenNameval.regex="M.*"最后給個一般情況下用到的利用屬性約束的例子：accesstoattrs=memberval.children="ou=Users,dc=example,dc=com"by*none1.通過Filters訪問Filters提供一種支持條目記錄匹配的方法，如下：accesstofilter="(objectClass=simpleSecurityObject)"by*none這表示我們可以約束所有